背景及定义
策略路由PBR(Policy-Based Routing)是一种依据用户制定的策略进行路由选择的机制,也就是说,当流量通过时,优先选择策略路由转发,当没有配置策略路由时,按照目的地址查找路由表并按照正常流程转发;
特点
可以按照用户需求制定策略进行路由选择,增强路由选择性和可控性;
可以定制不同的数据流按照不同链路转发,提高链路利用率;
策略路由和路由策略区别
策略路由直接控制数据包的转发路径(属于数据平面转发),可以绕过传统的路由表,比如说:家里的路由器接入多个运营商场景下,家里的设备访问互联网时,视频流量对访问速率有高要求,那么就可以根据当前局域网内设备的流量类型将视频流量分配到高带宽的运营商出口链路,对带宽要求不高的流量走低速出口链路;
路由策略目的最终影响路由表的生成,比如: 路由过滤,路由优先级调整,路由引入,路由聚合,都会影响到最终的路由表生成;
策略路由实验配置一(SwithchB按照不同的源网段ip匹配不同的转发路径)
网络互通配置
SwitchA配置
//配置SwitchA 所属vlan
[Huawei] vlan batch 10 20
[Huawei] interface ethernet 0/0/1
[Huawei-Ethernet0/0/1] port link-type access
[Huawei-Ethernet0/0/1] port default vlan 10
[Huawei] interface ethernet 0/0/2
[Huawei-Ethernet0/0/2] port link-type access
[Huawei-Ethernet0/0/2] port default vlan 20
[SwitchA-GigabitEthernet0/0/2] quit
[Huawei] interface ethernet 0/0/3
[Huawei-Ethernet0/0/3] port link-type trunk
[Huawei-Ethernet0/0/3] port trunk allow-pass vlan 10 20
SwitchB配置
//配置SwitchB 所属vlan
[Huawei] vlan batch 10 20 100 200
[Huawei] interface ethernet 0/0/3
[Huawei-Ethernet0/0/3] port link-type trunk
[Huawei-Ethernet0/0/3] port trunk allow-pass vlan 10 20
//配置Vlanif 10地址,Vlanif20地址
[Huawei]interface Vlanif 10
[Huawei-Vlanif10]ip address 192.168.1.1 24 (为pc1网关)
[Huawei]interface Vlanif 20
[Huawei-Vlanif20]ip address 192.168.2.1 24 (为pc2网关)
[Huawei]interface Vlanif 100
[Huawei-Vlanif100]ip address 10.1.20.2 24
[Huawei]interface Vlanif 200
[Huawei-Vlanif200]ip address 10.1.30.2 24
[Huawei]interface ethernet 0/0/1
[Huawei-Ethernet0/0/1] port link-type access
[Huawei-Ethernet0/0/1] port default vlan 100
[Huawei]interface ethernet 0/0/2
[Huawei-Ethernet0/0/2] port link-type access
[Huawei-Ethernet0/0/2] port default vlan 200
//对于去往R3网络来说,有两条路径到达,我们配置默认路由
[Huawei] ip route-static 0.0.0.0 0 10.1.20.1
[Huawei] ip route-static 0.0.0.0 0 10.1.30.1
R1配置
[Huawei-Ethernet0/0/1] ip address 10.1.20.1 24
[Huawei] ip route-static 192.168.1.0 24 10.1.20.2
R2配置
[Huawei-Ethernet0/0/1] ip address 10.1.30.1 24
[Huawei] ip route-static 192.168.2.0 24 10.1.30.2
策略路由配置(SwitchB)
//在SwitchB 去往R3网络时,有两条路由到达,我们希望源网段192.168.1.0/24 过来的数据包可以由R1进行转发,源网段192.168.2.0/24 过来的数据包可以由R2进行转发
//配置ACL规则
[Huawei] acl 3001 //匹配内网192.168.1.0/24网段的数据流
[Huawei-acl-adv-3001] rule permit ip source 192.168.1.0 0.0.0.255
[Huawei] acl 3002 //匹配内网192.168.2.0/24网段的数据流
[Huawei-acl-adv-3002] rule permit ip source 192.168.2.0 0.0.0.255
//配置流分类
[Huawei] traffic classifier c1 operator or
[Huawei-classifier-c1] if-match acl 3001
[Huawei] traffic classifier c2 operator or
[Huawei-classifier-c2] if-match acl 3002
//配置流行为
[Huawei] traffic behavior b1
[Huawei-behavior-b1] redirect ip-nexthop 10.1.20.1
[Huawei] traffic behavior b2
[Huawei-behavior-b2] redirect ip-nexthop 10.1.30.1
//配置流策略p1,将流分类和对应的流行为进行绑定
[Huawei] traffic policy p1
[Huawei-trafficpolicy-p1] classifier c1 behavior b1
[Huawei-trafficpolicy-p1] classifier c2 behavior b2
//# 将流策略p1应用到SwitchB的接口0/0/3的入方向上
[Huawei-Ethernet0/0/3]traffic-policy p1 inbound
实验结果
从pc1 ping 11.1.20.2多次, 通过在SwitchB 接口0/0/1抓包可以发现,流量在SwitchB入口上经过ACL规则匹配,会选择从网关为10.1.20.1转发;
策略路由实验配置二(R1引流到旁路防火墙)
- 假设我们想将外网流量在经过外部R1时,需要对流量进行一些检查和清洗,保证进入内网流量是正常用户访问的流量,则可以以旁路模式外挂一个防火墙,所有外网流量的进入先由防火墙进行检测和识别,如果发现是恶意流量可以拦截下来,不进行后续的转发,有效保护内网的安全;
相关设备配置
默认在各设备接口ip配置后,以下是路由配置;
R1
[Huawei] ip route-static 10.1.30.0 24 10.1.20.2 (默认去向内网流量通过10.1.20.2 可达)
R2
[Huawei] ip route-static 10.1.1.0 24 10.1.20.1 (默认去向外网流量通过10.1.20.1可达)
Fw2配置
ip route-static 10.1.30.0 24 10.1.11.6 (当收到外部PC1发来的流量时转发到R1)
安全策略配置:
firewall zone name trust
add interface GigabitEthernet0/0/1 (将该接口加入到可信区域,目的是将收到的数据包转发出去,不会丢弃掉)
当外挂防火墙之后,外网入口处所有流量先交由防火墙处理,所以,通过引入PBR可以先将流量引流到防火墙,以下是R1 PBR相关配置;
R1
[Huawei]acl 3000
[Huawei] rule 5 permit ip source 10.1.1.2 0.0.0.255
[Huawei]policy-based-route PBR permit node 5 (创建策略路由规则PBR,节点5)
[Huawei] if-match acl 3000
[Huawei] apply ip-address next-hop 10.1.10.5 (指定下一跳地址)
[Huawei]interface ethernet 0/0/0
[Huawei] ip policy-based-route PBR (在入口接口应用策略)
实验结果
当pc1 执行ping pc2设备时;
在防火墙ge 0/0/0 口抓包,R1入口处的流量(icmp request)会先引流到防火墙进行处理,处理完后按照路由继续转发出去一直到PC2;
当PC2进行回包时,直接按照PC2->R2->R1->PC1路径转发,通过在R1 Ethernet 0/0/1上抓包,查看到PC2 的回包;
